公民實驗室(Citizen's Lab)研究人員發現北京冬奧App「My2022」提供了舉報他人的政治敏感言論的功能,其中Android版包含一個「illegalwords.txt」檔,內有2400多個審查關鍵字詞,大部份是簡體中文,少部份為繁體中文、藏文及維吾爾語。但研究人員表示這些關鍵詞並未用於實際的言論過濾。(圖片來源/Citizen's Lab)

2022年冬奧即將在2月4日到20日於北京舉行,但一項加拿大研究顯示北京冬奧專用App有多項安全隱私問題,還內建言論審查技術。不過國際奧委會駁斥這項研究發現。

多倫多大學公共事務學院下的公民實驗室(Citizen's Lab)針對北京冬奧開發的My2022 App的資料安全及隱私進行研究,並由德國之聲(DW)首先引述報導。研究人員指稱這款App資料傳輸安全性不足,蒐集許多資料卻也分享給許多單位,還有一個關鍵字詞審查清單。

My2022由中國國營北京金融控股集團所有,具多項功能,首先是COVID-19相關的健康監控。今年冬奧期間時值全球COVID-19風暴再起,北京當局為疫情管控,要求所有國內外選手及與會者在抵達北京前14天以前需下載My2022 App,每日以App回報健康狀況,也蒐集疫苗接種紀錄、以及COVID-19病毒檢測結果等。此外這個App還提供觀光導覽、GPS導航,以及各項設施服務的使用把關等。

根據My2022公開資訊,除了健康狀態,它會蒐集大量個人資料。針對外國使用者,這款App蒐集用戶人口學屬性(性別、年齡等)、護照資訊(發照日及到期日等)。此外它還會蒐集裝置識別碼、電信服務商並分享給該裝置業者,如華為、Oppo、Vivo,並且額外蒐集裝置上App資訊分享給騰訊、微博、地圖業者高德(AutoNavi)、語音辨識業者科大訊飛(iFlytek),理由是協助用戶使用它們提供的服務。

但研究人員發現My2022並未說明會將用戶健康紀錄分享給誰。另一方面,它又說明會在(且不僅只於)涉及國家安全、公衛事件及犯罪調查等情況下,不經用戶同意揭露個人資訊。

除了資訊隱私之外,加拿大研究人員另外也發現My2022的安全問題。例如北京冬奧伺服器,如tmail.beijing2022.cn部分內容傳輸連線未以SSL加密。另一些伺服器,如health.customsapp.com、my2022.beijing2022.cn等雖然採取SSL傳輸,但並未驗證SSL憑證,這可能讓攻擊者發動中間人攻擊,冒充合法網站以攔截用戶輸入的資訊,或是從惡意主機傳送假造內容到App。研究人員也發現數個和北京冬奧的伺服器SSL連線可能曝險。

另一方面,My2022還可能扮演言論審查者的角色。研究人員發現My2022提供了舉報他人的政治敏感言論的功能。此外,Android版My2022包含一個「illegalwords.txt」檔,內有2400多個審查關鍵字詞,大部份是簡體中文,少部份為繁體中文、藏文及維吾爾語。字詞類別涵括罵人三字經、色情、非法物質(如製作爆裂物的成份),以及大量政治敏感用語,法輪功、天安門(如「捌玖陸肆紀念」)、習近平等。但研究人員表示這些關鍵詞並未用於實際的言論過濾。

研究人員相信,蒐集敏感資訊卻防護不足的My2022,已違反了Google Play及蘋果App Store審查規範,

研究人員於去年年底完成調查後,於12月3日將報告發現分享給了北京冬奧及帕奧主辦單位。截至45日後的1月18日未獲得回應,於是向媒體公布研究發現。

國際奧委會(International Olympic Games,IOC)昨日對媒體反駁這項指控,表示My2022是防範COVID-19的重要工具,其功能首要任務是支持健康監控。

在對ZDNet的聲明中,IOC也強調,為了防疫,My2022 App必須採取特別措施以確保冬奧及帕奧與會者、以及中國民眾的安全。IOC並指這款App都已經通過Google Play Store及蘋果App Store的審查。


熱門新聞

Advertisement